ロックインターナショナルは2015年1月8日、開発中のアプリケーションに含まれるセキュリティ上の脆弱性をテストするソフト「beSTORM」の販売ラインアップを拡充し、クライアントソフトを開発するための機能をパック化した「beSTORM Basic Network Clientパッケージ」の販売を開始した。SSH、FTP、HTTP、DNS、NTP、DHCPの6種のプロトコルについて、これらのクライアントに含まれる脆弱性を検知する。価格は700万円台。
前提となるbeSTORMとは、開発中のアプリケーションに含まれるセキュリティ脆弱性を、実際にリモートから攻撃を仕掛けてテストするソフトである(関連記事:サーバーアプリの脆弱性をバイナリー解析と実際の攻撃で検査するソフト)。特徴は大きく二つある。一つは、ソースコードを解析するのではなく、動作しているアプリケーションに対して実際に攻撃を仕掛けて検査すること。もう一つは、既知の脆弱性について調べるのではなく、考えられる全パターンの組み合わせで攻撃し、その結果を監視することによって脆弱性を発見すること---である。
未知の脆弱性をあぶり出すために、網羅的な分析を行う。プロトコルのデータ構造を解析した上で、あらかじめ定義してある、あらゆる攻撃の可能性を再現してテストする。例えば、「使っているプロトコルでバッファーオーバーフローを発生させる組み合わせをテストする」「ファイル名待ちのアプリケーションに対して不正なキャラクターを送信する」「非論理的なプロトコルシーケンスナンバーを使う」といったテストを実施する。
クライアントのテストに特化したパッケージ
beSTORMを使うと、TCP/IPプロトコル全般や、自社開発プロトコルのテストができる。テスト対象のプロトコルの種類や数などに応じてライセンスが決まるが、あらかじめ用途に合わせてテスト対象プロトコルを数種類パック化したパッケージをいくつか用意している。今回の「Basic Network Clientパッケージ」は、サーバーソフトではなくクライアントソフトを開発するための機能をパック化したパッケージである。
Basic Network Clientパッケージでは、SSH、FTP、HTTP、DNS、NTP、DHCPの6種のプロトコルのいずれかのクライアントソフトについて、脆弱性を検知する。例えば、HTTPでデータをやり取りする専用アプリケーションなどをテストできる。beSTORMが、これらプロトコルのサーバーとして機能し、クライアントからのリクエストなどに応じて、クライアントに対して不正なデータを送りつける。
